Назад | Перейти на главную страницу

Сетевой вопрос

У меня вопрос, возможно ли что-то по умолчанию или требует дополнительной настройки.

Допустим, у меня есть две системы за брандмауэром, и они находятся в одном домене и подсети. Система 1 имеет IP 10.1.1.2 и установлен IIS (он же прослушивает порт 80). Другая система - это обычная система с исходящим интернет-трафиком.

Должна ли система 2 (система исходящего трафика) подключиться к внешнему IP-адресу и перенаправить его на сервер, на котором запущен IIS, без необходимости изменять какой-либо файл хоста или настройки NAT?

Вот топология того, о чем я говорю:

Если компьютерная система на 10.1.1.1 сможет поразить (либо напрямую с IP, либо через зарегистрированный DNS, например my.domain.com) внешний IP (69.1.1.1:80) и разрешить / перенаправить на внутренний сервер расположен по адресу 10.1.1.2?

Это довольно известная проблема. Когда ваш внутренний клиент получает доступ к внешнему IP-адресу, dumb-NAT пересылает этот пакет на сервер. Выглядит это примерно так:

10.1.1.2 -> 69.1.1.1:80

В этот момент dumb-NAT перезапишет пакет, чтобы внутренний сервер увидел:

10.1.1.2 -> 10.1.1.1:80

Он ответит:

10.1.1.2:80 -> 10.1.1.1

К сожалению, 10.1.1.2 ожидал ответа от 69.1.1.1, а не от 10.1.1.1, поэтому он просто отбрасывает пакет, и соединение никогда не завершается.

Есть несколько способов справиться с этим, некоторые шлюзы NAT делают это разумно. Большинство домашних маршрутизаторов / брандмауэров этого не делают. Но срок того, что он делает, Источник-NAT, где адрес источника перезаписывается вместо адреса назначения.

Если это ЧИСТЫЙ брандмауэр, вы можете столкнуться с проблемами, но на самом деле большинство брандмауэров будут действовать в некоторой степени как ограниченный маршрутизатор, и поэтому да, это должно просто работать. Он определенно работает на всех брандмауэрах / маршрутизаторах, которые я использовал. Вы знаете, какой у вас FW?

Вот это очень хорошее объяснение этой проблемы, заданный в эквивалентном контексте. Решение состоит в том, чтобы настроить то, что страница MikroTik называет «шпилькой NAT». Я также видел технику, называемую «отражение NAT» в контексте pfSense и m0n0wall.